Opnsense + pihole unbound + vpn + dyndns + wireguard

the_technician · 27. Juni 2023 um 18:06

Guten Tag zusammen,

nachfolgend kurz eine Erläuterung eines Setups, das ich gerne in Zukunft realisieren möchte. Ich bitte um fundierte Meinungen zur Machbarkeit dieses Vorhabens. Die zugrunde liegende Software opnsense und pihole sind gesetzt.

Edit: Vor eine opnsense wird ein DSL-Modem geschaltet, dass wahrscheinlich von DrayTek sein wird. Ist es sicherheitstechnisch relevant, wenn dies keine Updates mehr bekommt, wenn sich dahinter die opnsense befindet?

Zunächst soll eine opnsense als Firewall für das Heimnetz dienen. Diese soll per DynDNS nach außen verbunden sein, um einen Server hinter der Firewall von außen erreichbar zu machen. Gleichzeitig soll eine VPN Wireguard Verbindung nach außen dauerhaft bestehen, um während des im Internet servens meine IP-Adresse zu verschleiern.

Hinter der Firewall befindet sich das pihole. Dieses pihole bezieht per unbound die DNS Anfragen direkt von den root Servern. Wie aber in diesem Video (https://piped.adminforge.de/watch?v=xAo61IaXun8) gezeigt, reicht dies nicht aus und es sollte nach außen hin ein anderer DNS Server vor unbound vorgeschaltet werden. Wie kann dies realisiert werden?

Um sich ins Heimnetz per Wireguard zu tunneln, wäre es sinnvoller sich auf die opnsense per wireguard zu verbinden oder sollte dies besser auf einen server hinter der Firewall geschehen ( aus sicherheitstechnischer / praktischer Sicht)?

Ist ein solches Vorhaben umsetzbar und wie kann das pihole mit unbound beibehalten werden, wobei die Nutzung dieses nach außen hin verschleiert wird?

Die Sachlage wurde meinerseits hoffentlich verständlich erläutert. Über nützliche Hinweise würde ich mich sehr freuen.

MfG

Tom

anon83163390 · 30. Juni 2023 um 10:02

Es handelt sich um ein Modem welches das Signal modelliert, mit Sicherheit hat das erst mal nichts zu tun, es könnte aber passieren das sich das Signal ändert und nicht mehr richtig umgewandelt werden kann ohne update (Das Problem besteht zumindest bei Kabel Modems sehr häufig)

Hinter der Firewall ist mehr zu konfigurieren , aber einen Sicherheitsgewinn sehe ich da keinen. Am Port wird gelauscht, so oder so.

Du machst Deine IP über einen Host erreichbar, den Rest muss auf dem Server konfiguriert werden plus Freigaben in der Firewall.
Ich würde für diesen Server eine eigene Zone im Heimnetz anlegen, bei ipfire wäre das die orange DMZ
https://wiki.ipfire.org/configuration/firewall/rules/dmz-setup

Wenn die Opensense das unterstützt, die Frage ist nur wie Du den gesamten Internetverkehr vom Netzwerk tunneln willst und gleichzeitig noch Dienste nach außen anbieten möchtest die nicht über den Tunneel raus gehen. Da ist ein ordentliches Routing an zu setzen, ipfire kann das nicht, es war schon ein Kampf den kompletten Internet Verkehr zu tunneln, wovon ich aber heute weg bin, es macht mehr Sinn und gibt mehr Privatsphäre einzelne Endgräte mit dem VPN zu verbinden.
Überlege Dir ob Du wirklich den ganzen Internetverkehr tunneln willst, jedes Gerät sendet Daten und alle senden mit der gleichen IP wie Du beim surfen…

Aber gibt bestimmt Netzwerker die Dir besser helfen können, ich habe mich mit ähnliche Dingen beschäftigt aber auf der ipfire